Privacybeleid

Bij RET geloven we dat privacy een grondrecht is en dat dit grondrecht ten alle tijden beschermd dient te worden. Om die reden behandelt de RET alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon, of die door de RET aan die persoon zijn of kunnen worden gekoppeld, als “persoonsgegevens”. Dit betekent dat gegevens die jou rechtstreeks identificeren (bijvoorbeeld je naam) persoonsgegevens zijn, evenals gegevens die jou niet rechtstreeks identificeren, maar die redelijkerwijs kunnen worden gebruikt om jou te identificeren (bijvoorbeeld het ID nummer van een OV-chipkaart).

De RET verwerkt verschillende soorten persoonsgegevens. De meest voorkomende persoonsgegevens die verwerkt worden zijn: contactgegevens, geboortedatum, betaalgegevens, debiteurengegevens, reisproductgegevens en kaartgegevens van je OV-chipkaart. Naast deze genoemde veel voorkomende gegevens, verwerkt de RET nog andere gegevens. In hoofdstuk 3 van het volledige privacystatement van de RET vindt je een uitgebreid overzicht van wat voor persoonsgegevens de RET allemaal verwerkt per specifiek doel.

De RET gaat zorgvuldig om met persoonsgegevens. De RET heeft daarom passende beveiligingsmaatregelen getroffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging of ongeautoriseerde verstrekking van of toegang tot de persoonsgegevens. Die maatregelen variëren van fysieke maatregelen als een inbraakalarm en toegangscontrole tot diverse organisatorische en technische ICT-beveiligingsmaatregelen. De RET evalueert met regelmaat de genomen technische en organisatorische maatregelen, zodat deze passend zijn en blijven. Ook aan onze verwerkers stellen wij contractuele eisen tot het nemen van passende beveiligingsmaatregelen als zij gegevens voor ons verwerken. Verder hebben alleen geautoriseerde medewerkers of derden alleen toegang tot je persoonsgegevens als dat nodig is voor de uitvoering van hun werkzaamheden en op basis van vastgesteld autorisatiebeleid. Daarnaast hebben ze een geheimhoudingsplicht. 

De RET verkoopt geen persoonsgegevens aan andere partijen.  Soms moet de RET je persoonsgegevens wel verstrekken aan andere partijen. Bijvoorbeeld aan de verzekeringsmaatschappij als er een schadeclaim is ingediend, de Belastingdienst op grond van wet- en regelgeving of in gerechtelijke procedures of procedures voor de Geschillencommissie Openbaar Vervoer ter onderbouwing van ons standpunt. Deze andere partijen zijn zelf verantwoordelijk voor het gebruik en de verwerking van de ontvangen persoonsgegevens. De RET verstrekt niet meer gegevens dan noodzakelijk voor deze derden.

Voor een goede landelijke werking van de OV-chipkaart, de afhandeling van (reis)transacties met je OV-chipkaart en de financiële afwikkeling voor opbrengstverdeling tussen de openbaarvervoerbedrijven (“vervoerders”), deelt de RET je (transactie)gegevens en productgegevens met de uitgever van de OV-chipkaart: Translink Systems B.V. (“Translink”). Meer informatie vind je hierover op www.ov-chipkaart.nl. Over de verwerking van je persoonsgegevens in het kader van het OV-chipkaartsysteem kan je bij het onderdeel “OV-chipkaartsysteem” nadere informatie vinden. Voor bepaalde processen van het OV-chipkaartsysteem zijn de vervoerders en Translink gezamenlijk verwerkingsverantwoordelijken. 

Daarnaast schakelt de RET andere partijen in voor de uitvoering van diensten. Dit zijn verwerkers van de RET die in opdracht en ten behoeve van de RET persoonsgegevens kunnen verwerken. De RET maakt met deze verwerkers specifieke afspraken over de verwerking van de persoonsgegevens, zoals over de beveiliging en het bewaren van gegevens, de geheimhouding ervan en dat de gegevens alleen gebruikt mogen worden voor het uitvoeren van de specifieke opdracht zoals verkregen van RET. Je persoonsgegevens mogen deze verwerkers niet zelfstandig gebruiken of doorgeven. Het betreffen bijvoorbeeld betaaldienstverleners, incassobureaus, cloud- en hostingspartijen, IT-dienstverleners, enquête- en campagnebureaus of onderzoeks- en adviesbureaus.  

De RET is verplicht om mee te werken en persoonsgegevens te verstrekken als opsporingsinstanties, zoals de politie of bijvoorbeeld de FIOD, gegevens vorderen. De RET onderzoekt in dergelijke gevallen de bevoegdheid van de betreffende opsporingsinstantie en zal zich uiteraard ook bij deze wettelijke verplichting houden aan de eisen die door de AVG of Wet politiegegevens zijn vastgesteld. RET kan persoonsgegevens ook zelfstandig verstrekken aan politie of justitie om de rechten en eigendommen van RET te beschermen.

Meer specifieke informatie over verstrekking aan andere partijen lees je per situatie of proces genoemd bij het onderdeel “Waarvoor gebruikt RET je persoonsgegevens?”.

Als je vragen hebt over het privacybeleid van de RET of de uitvoering ervan kun je contact opnemen met het privacy team. Dit team bestaat uit onze FG (functionaris gegevensbescherming), PO (privacy officer), SO (security officer) en onze privacy jurist. Neem contact op als je een vraag hebt, een klacht wilt indienen of als je gebruik wilt maken van je rechten (onder meer het recht op inzage, rectificatie of verwijdering). Je kunt het privacyteam bereiken via:

Per e-mail: privacy(at)ret.nl

Of per brief:
RET NV 
t.a.v. Functionaris Gegevensbescherming
Postbus 112
3000 AC Rotterdam

Direct nadat je hebt ingecheckt wordt het unieke identificatienummer (“PAN”) van je Betaalpas- of Creditcard Gepseudonimiseerd. Iedere Betaalpas of Creditcard krijgt hierbij een eigen uniek nummer, een zogeheten token. Deze unieke tokens worden gebruikt voor de verschillende doeleinden zoals reizen, betalen, service, inspectie en overzichtsrapporten.

De Generieke Back Office (“GBO”) kent iedere Vervoerder eigen unieke identificatienummers voor de tokens toe. Hierdoor hebben Vervoerders onderling geen inzicht in reispatronen van door een reiziger met een Betaalpas of Creditcard gemaakte reizen bij andere Vervoerders. De GBO is het centrale administratiesysteem van Translink waar Translink voor Vervoerders o.a. Vervoerbewijzen registreert, de prijs die een rit kost berekent en het totale bedrag waarvoor je die dag hebt gereisd bijhoudt.

Gepseudonimiseerde gegevens zijn zonder aanvullende informatie niet te herleiden naar je Betaalpas- of Creditcardgegevens. Dit Pseudonimiseren is een maatregel om de risico’s voor reizigers te verminderen bij het Verwerken van jouw Persoonsgegevens. Door Gepseudonimiseerde gegevens te combineren met andere gegevens is een organisatie wellicht in staat is om te achterhalen welke Betaalpas of Creditcard hoort bij het pseudoniem. Hiermee kan het dan mogelijk zijn de reishistorie van een Betaalpas- of Creditcard in te zien.